Een beveiligingsonderzoeker heeft met behulp van AI een kwetsbaarheid in OpenSSL gevonden die in bepaalde gevallen mogelijk tot remote code execution kan leiden, zo laat het ontwikkelteam weten. Er zijn beveiligingsupdates uitgebracht om het probleem (CVE-2026-45447), alsmede zeventien andere kwetsbaarheden, te verhelpen. De impact van CVE-2026-45447 is beoordeeld als 'High'. Beveiligingslekken in OpenSSL krijgen zelden de beoordeling 'High'. De afgelopen drie en een half jaar ging het om slechts drie van dergelijke beveiligingslekken.

OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Het wordt echter ook gebruikt door mailservers en allerlei andere systemen en toepassingen. CVE-2026-45447 doet zich voor in een context waarbij er berichten worden verwerkt, bijvoorbeeld in het geval van e-mail.

Door het versturen van een speciaal geprepareerd bericht dat met PKCS#7 of S/MIME is gesigneerd, kan een aanvaller een use-after-free op het systeem veroorzaken. Het probleem doet zich voor bij de verificatie van de signature van het bericht. Dit kan leiden tot een crash en mogelijk remote code execution, zo staat in het beveiligingsbulletin. Het ontwikkelteam merkt op dat applicaties die OpenSSL PKCS#7 API's gebruiken voor het verwerken van met PKCS#7 of S/MIME gesigneerde berichten kwetsbaar zijn. Applicaties die CMS API's hiervoor gebruiken lopen geen risico.

Het beveiligingslek werd gevonden door onderzoeker Thai Duong van Calif.io in samenwerking met Claude en Anthropic Research. Calif.io maakt gebruik van AI voor het vinden van kwetsbaarheden in allerlei software. De overige zeventien kwetsbaarheden die door OpenSSL zijn gepatcht hebben een lagere impact. Beheerders en gebruikers kunnen updaten naar OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6, 3.0.21, 1.1.1zh en 1.0.2zq. Deze twee laatste versies zijn alleen voor betalende klanten beschikbaar.